Перейти к содержимому

Фотография

Служба Безопасности Украины (Сбу) Предупреждает О Потенциальной Кибератаке Против Украины

- - - - -

  • Авторизуйтесь для ответа в теме

#1
admin

Отправлено 14 ������� 2017 - 08:43

admin

    Самый главный тут

  • Администраторы
  • 9�612 сообщений

ataka2017.jpg

 

 
*** Машинный перевод ***
 
Служба Безопасности Украины (СБУ) выпустила предупреждение о потенциальной кибератаке против государственных учреждений и частных компаний на Украине. По словам украинской секретной службы, цель атаки - нарушить нормальное функционирование информационных систем, чтобы потенциально дестабилизировать кибер-среду страны. СБУ указал, что они получили информацию о том, что нападение, аналогичное нападению в июне этого года, может быть проведено против механизма обновления программного обеспечения публичной компании.
 
sbu.jpg
 
Период времени
 
В последние годы Украина была объектом множества атак.
 
Март 2014 - Ситуация между Украиной и Россией остается напряженной, поскольку различные политики и группы проводят встречи, направленные на урегулирование ситуации. Большой интерес вызывает решение крымского парламента покинуть Украину и стать частью России. Референдум по этому вопросу состоится позднее в этом месяце. Как мы отметили в нашей оценке два дня назад, появились сообщения о нападении на мобильную телефонную систему в Украине, запущенной из Крыма. Волоконно-оптические кабели в Крыму также могут быть помешаны. Мы наблюдаем всплеск сообщений на сайтах социальных сетей, касающихся кибератаки, в основном на российские и украинские цели. Различные фракции анонимного коллектива запустили #OpRussia, которая, по-видимому, в первую очередь нацелена на российские военные и правительственные сайты. Мы видим некоторые претензии в отношении нападений на российские объекты в энергетическом и инвестиционном секторах. Сообщается, что на небольшое количество российских медиа-сайтов были атакованы. По сообщениям, некоторые сайты в Украине были атакованы в возмездии за нападения, которые, как считается, были проведены в составе #OpRussia. Возможно, что такое увеличение глаз будет наблюдаться при атаке глаз, поскольку те, кто воспринимают себя как патриотические или националистические, вовлечены в кибератаки. Также возможно, что нападения могут расширяться, включая правительственные, военные и коммерческие объекты за пределами непосредственной зоны конфликта.
 
Октябрь 2014 - кампания «Сандвич» с использованием файлов PowerPoint для таргетинга на НАТО, Украину и другие.
 
Сентябрь 2015 г. - Mandiant FireEye опубликовал статью о том, что они назвали, SYNful Knock. Атакующие, снова используя действующие учетные данные, внедряют вредоносные изображения программных продуктов Cisco на некоторые уязвимые устройства. Вредоносные изображения, как представляется, предоставляют злоумышленнику возможность загружать модули в память. Первоначальное вредоносное изображение является постоянным, но модули, загруженные позже, находятся в памяти и должны перезагружаться после перезагрузки устройства. Злоумышленное изображение также содержит скрытую заднюю дверь, которая может предоставить злоумышленникам доступ к взломанному устройству. Mandiant сообщает, что они наблюдали такой вредоносный код в некоторых четырнадцати случаях, распространенных в четырех странах; Индии, Мексики, Филиппин и Украины.
 
Январь 2016 - BlackEnergy впервые появился в качестве ботнета на базе Интернета, который в основном использовался для распространения атак типа «отказ в обслуживании» (DDoS) российского хакерского подполья. В 2014 году ICS-CERT выпустил предупреждение (ICS-ALERT-14-281-01B) относительно варианта BlackEnergy, который использовался для целевых промышленных систем управления (ICS). Предупреждение указывало, что в то время вредоносное ПО, похоже, не повредило, не изменило или не нарушило процессы управления системой. Из-за событий в течение курортного сезона это может быть и не так. Согласно сообщениям СМИ, вредоносное ПО, возможно, использовалось для отключения электричества в Украине. Антивирусная компания ESET указывает, что вариант, используемый в атаке, включал компонент с надписью «KillDisk». ESET указывает, что этот компонент можно использовать для того, чтобы сделать жесткий диск не загружаемым и, судя по всему, саботировал промышленные системы управления. Они также заявили, что этот вариант включает бэкдор через SSH-соединение с зараженной системой. ESET заявила, что они еще не определили, является ли компонент «KillDisk» или соединение, предоставляемое бэкдором SSH, основной причиной сбоев.
 
Jun 2017 - US-CERT опубликовал предупреждение о вредоносном ПО, которое называется «CrashOverride», которое влияет на промышленные системы управления (ICS). В отчетах ESET и Dragos говорится, что это вредоносное ПО использовалось для критических инфраструктурных платформ на Украине (20l6). В настоящее время нет данных, свидетельствующих о том, что уязвимые инфраструктурные активы США подвержены влиянию. «Тем не менее, тактика, методы и процедуры (TTP), описанные как часть вредоносного ПО CrashOverride, могут быть изменены для целевых критически важных информационных сетей и систем США».
 
Июнь 2017 года. Примерно в 09:00 по восточному времени 27 июня 2017 года X-Force Threat Research была ознакомлена с кампанией по вымогательству, которая, как представляется, нацеливалась на Украину и Францию. Предполагается, что атака основана на уязвимостях Windows, которые были исправлены в последнем цикле обновлений Microsoft, который включает исправления для устаревших операционных систем. Глобальный уровень угрозы был поднят до AlertCon 2
 
Август 2017 года. Сообщалось, что бухгалтерская фирма программного обеспечения, базирующаяся в Украине, скомпрометировала свои веб-серверы и размещает вредоносное ПО. Сначала возникла озабоченность по поводу того, что это может быть связано с недавними нападениями NotPetya. К счастью, этого не случилось. Веб-серверы были заражены вредоносными программами, но не распространяли их как обновление на другие хосты. Программное обеспечение украинской фирмы не было скомпрометировано. Нападавшие отправили фишинговые письма, в которых был зашифрованный файл JavaScript. После того, как письмо было открыто, оно будет загружать вредоносное ПО с сайта Crystal Finance Millennium. Загрузившаяся выкупленная программа предоставляет адрес BitCoin, запрашивающий платеж, чтобы разблокировать файлы. У фирмы были выпущены веб-серверы, которые размещают их до тех пор, пока проблема не будет решена. Настоятельно рекомендуется не загружать что-либо из компании до официального подтверждения разрешения.
 
12 октября 2017 года - Служба Украины (СБУ) выступила с предупреждением о возможной кибератаке против государственных учреждений и частных компаний на Украине. По словам украинской секретной службы, цель атаки - нарушить нормальное функционирование информационных систем, чтобы потенциально дестабилизировать кибер-среду страны. СБУ указал, что они получили информацию о том, что нападение, аналогичное нападению в июне этого года, может быть проведено против механизма обновления программного обеспечения публичной компании.
 
13 октября 2017 г. - оценка XFTAS
 
13 октября 2017 г. - Создана коллекция
 
16 октября 2017 г. - Сборник, опубликованный в XFTAS
 
рекомендации
 
«Обновление подписей программного обеспечения для защиты от вирусов на сервере и на компьютере рабочей станции»;
«Вести избыточность информации, которая обрабатывается на компьютерном оборудовании»;
«Обеспечить ежедневное обновление системного программного обеспечения, включая ОС Windows всех версий».
 
Ссылки
 
XFTAS Archives
 
 
 
 
 
//////////////////////////////////
 
 
 
 
Description
 
Service of Ukraine (SBU) has issued a warning about a potential cyber-attack against state institutions and private companies in the Ukraine. According to the Ukrainian secret service, the goal of the attack is to disrupt normal operation of information systems to potentially destabilize the country's cyber environment. The SBU indicated that they had received information that an attack, similar to that of June of this year, might be conducted against a public company's software updating mechanism.
 
Timeframe
 
In the last few years, the Ukraine has been the target of a number of attacks.
 
Mar 2014 - The situation between Ukraine and Russia remains tense as various politicians and groups stage meetings aimed at resolving the situation. Of major interest is the decision of the Crimean parliament to leave Ukraine and become part of Russia. A referendum on this will be held later this month. As we noted in our assessment two days ago, there were reports of an attack against the mobile phone system in Ukraine launched from inside Crimea. Fiber optic cables in Crimea may also have been interfered with. We are observing an uptick of postings to social media sites regarding cyber attacks on mainly Russian and Ukrainian targets. Various factions of the Anonymous collective launched #OpRussia which to date appears to have primarily targeted Russian military and government sites. We are seeing some claims of attacks against Russian targets within the energy and investment sectors. A small number of Russian media sites are reported as having been attacked. Some sites in Ukraine have reportedly been attacked in retribution for attacks believed to have been carried out as part of #OpRussia. It is possible that there will be an increase in such eye for an eye attacks as those who perceive themselves as patriotic or nationalist involve themselves in cyber attacks. It is also possible that attacks may widen to include government, military and commercial targets outside of the immediate conflict area.
 
Oct 2014 - "Sandworm" campaign using PowerPoint files to target NATO, Ukraine, and others.
 
Sep 2015 - FireEye's Mandiant published an article on what they dubbed, SYNful Knock. Attackers, again using valid credentials, are implanting malicious Cisco firmware images on certain affected devices. The malicious images appear to provide an attacker the ability to load modules into memory. The initial malicious image is persistent but modules loaded later reside in memory and would need to be reloaded after a device reboot. The malicious image also contains a hidden back-door which can provide the attackers access to a compromised device. Mandiant is reporting that they have observed such malicious code in some fourteen instances spread over four countries; India, Mexico, the Philippines and Ukraine.
 
Jan 2016 - BlackEnergy first surfaced as a web-based botnet that was primarily used for distributed denial of service (DDoS) attacks by the Russian hacker underground. In 2014, the ICS-CERT issued an alert (ICS-ALERT-14-281-01B) regarding a variant of BlackEnergy that was used to target industrial control systems (ICSs). The alert indicated that, at that time, the malware did not appear to damage, modify, or disrupt system control processes.  Due to events over the holiday season, this may no longer be true. According to media reports, malware may have been used to cause an electrical outage in the Ukraine. Anti-virus company ESET indicates that the variant used in the attack included a component labeled "KillDisk". ESET indicates that this component can be used to render a hard drive unbootable and appears to have sabotaged the industrial control systems. They also stated that this variation includes a backdoor via an SSH connection to the infected system. ESET said that they have not yet determined if the "KillDisk" component or the connection provided by the SSH backdoor was the root cause of the outages.
 
Jun 2017 - The US-CERT has issued an Alert regarding a malware dubbed as "CrashOverride" which affects Industrial Control Systems (ICS). Reports from ESET and Dragos outline that this malware was utilized against critical infrastructure platforms in the Ukraine (20l6). At the present time, there is no evidence suggesting U.S. critical infrastructure assets are affected. "However, the tactics, techniques, and procedures (TTPs) described as part of the CrashOverride malware could be modified to target U.S. critical information networks and systems."
 
Jun 2017 - At approximately 0900 Eastern time on June 27th 2017, X-Force Threat Research was made aware of a ransomware campaign that seemed to be targeting the Ukraine and France. The attack is allegedly based on Windows vulnerabilities that were patched in the latest Microsoft patch cycle which included patches for legacy operating systems. The Global Threat Level has been raised to AlertCon 2
 
Aug 2017 - It was reported that a software accounting firm based in Ukraine had its web servers compromised and is hosting malware. There was concern, at first, that this could be related to the recent NotPetya attacks. This did not turn out to be the case luckily. The web servers were infected with malware, but did not distribute it as an update to other hosts. The Ukrainian based firm's software was not compromised. The attackers sent out phishing emails that contained a zipped JavaScript file. Once the email was opened, it would download the malware from the Crystal Finance Millennium website. The ransomware that was downloaded provides a BitCoin address requesting a payment to unlock the files. The firm has had its web servers taken off line by the company that hosts them until the issue is resolved. It is strongly recommended to not download anything from the company until resolution is officially confirmed.
 
Oct 12, 2017 - Service of Ukraine (SBU) has issued a warning about a potential cyber-attack against state institutions and private companies in the Ukraine. According to the Ukrainian secret service, the goal of the attack is to disrupt normal operation of information systems to potentially destabilize the country's cyber environment. The SBU indicated that they had received information that an attack, similar to that of June of this year, might be conducted against a public company's software updating mechanism.
 
Oct 13, 2017 - XFTAS assessment
 
Oct 13, 2017 - Collection created
 
Oct 16, 2017 - Collection published in XFTAS
 
Recommendations
 
"To update signatures of virus protection software on the server and in the workstation computer;"
"To conduct redundancy of information, which is processed on the computer equipment;"
"To provide daily updating of system software, including OS Windows of all versions."
 
References
 
XFTAS Archives
 
 
Via xforce.ibmcloud.com